YII2 — HttpBearerAuth. Почему без указания свойства optional — выводит ошибку?

Question

[yurygolikov]

Делаю аутентификацию через HttpBearerAuth на YII2.

Если указываю БЕЗ 'optional' - выкидывает ошибку. Your request was made with invalid credentials.

public function behaviors()
    {
        return [
            'authenticator' => [
                'class' => HttpBearerAuth::className(),
            ],

Если указываю С 'optional' - то все ок.

public function behaviors()
    {
        return [
            'authenticator' => [
                'class' => HttpBearerAuth::className(),
                'optional' => ['*'],
            ],

Вопрос:
Почему не работает значение по дефолту - брать все actions?
На сколько я понял в доке написано, что, если это свойство не установлено,
то фильтр применяется ко всем действиям. Или я что то неверно понял?

/**
     * @var array list of action IDs that this filter will be applied to, but auth failure will not lead to error.
     * It may be used for actions, that are allowed for public, but return some additional data for authenticated users.
     * Defaults to empty, meaning authentication is not optional for any action.
     * Since version 2.0.10 action IDs can be specified as wildcards, e.g. `site/*`.
     * @see isOptional()
     * @since 2.0.7
     */
    public $optional = [];

Answer 1

[padlyuck]

потому что значение по дефолту - пустой массив, а не все экшены. в приведенном вами куске написано что по умолчанию список пустой, что означает что авторизация НЕ опциональна для любого экшена(если дословно). Если русским языком то обязательна для всех

Comments

[yurygolikov]

Я так вроде и написал, что обязательная для всех экшенов по дефолту. Но почему то если ничего не указывать, то выводится ошибка, хотя по дефолту по идее должно быть тоже самое что и "*".

[padlyuck]

yurygolikov: на сколько я понимаю, все немного наоборот. '*' сделает опциональной авторизацию для любых запросов

[padlyuck]

https://github.com/yiisoft/yii2/blob/master/framew...

[padlyuck]

а ваша ошибка "Your request was made with invalid credentials." как раз говорит о том что авторизация не пройдена https://github.com/yiisoft/yii2/blob/master/framew... https://github.com/yiisoft/yii2/blob/master/framew...

[yurygolikov]

padlyuck: Это не авторизация, а аутентификация. И ошибка тоже аутентификации. По идее она вообще не должна ничего отдавать. Тем более отдавать ошибку 500. Управлением доступом авторизация занимается.
Хотя походу вы правы, но это странно как по мне.

[padlyuck]

yurygolikov: прошу прощения, конечно аутентификация. но сути дела это не меняет. Фильтр работает по принципу "запрещено всё, что не разрешено".

[yurygolikov]

padlyuck: Видимо - да, спасибо!

[yurygolikov]

padlyuck: Привет, а может вы знаете как по дефолту отдавать 401, при дефолтном значении optional

[padlyuck]

yurygolikov: возможно это поможет www.yiiframework.com/forum/index.php/topic/68253-a... там правда у ТС проблема другая, но результат который он получает похож на тот что требуется вам